Stefano Giraldi /

GDPR: strategie di adeguamento per PMI

(Ultimo aggiornamento: April 10, 2021)

Mancano poche settimane all'entrata in vigore del nuovo regolamento generale sulla protezione dei dati (GDPR - General Data Protection Regulation - Regolamento UE 2016/679) che andrà a sostituire il Codice Privacy attualmente in vigore. Mentre molte delle grandi imprese, soprattutto dell'ambito tecnologico, sono già intervenute per adeguarsi ai nuovi adempimenti, il mondo delle PMI è un po' più in difficoltà.

Senza entrare nel merito di queste differenze di carattere legale e che possono variare da caso a caso, ho pensato di condividere alcune considerazioni sull'argomento con un obiettivo: suggerire un approccio per adeguarsi alla nuovo regolamento sui dati personali all'interno di una PMI.

La privacy è il nuovo fisco?

Potrebbe. La normativa sulla privacy sta assumendo una organicità sempre più simile alla normativa fiscale. L'affermazione è sicuramente discutibile - concordo e speriamo che non sia mai così - ma l'intento è quello di immaginare, per un attimo l'impatto, che ha la normativa fiscale all'interno di un azienda trasportando lo stesso approccio agli adempimenti della normativa privacy.

Di certo, quando si avvia o si gestisce un’attività economica, gli adempimenti fiscali rappresentano una guida per la definizione delle procedure operative che regolano il funzionamento della organizzazione aziendale.

La rilevanza, che sta assumendo la corretta gestione dei dati personali all'interno di una azienda, sta andando verso la stessa direzione. L'entrata in vigore del GDPR e l'adozione degli adempimenti da esso previsti, non può avvenire senza tenere presente il contesto organizzativo dell'azienda e delle sue procedure di funzionamento.

È opportuno essere consapevoli che ruoli, funzioni e procedure, ossia l’intera struttura organizzativa dell’azienda,  è coinvolta nel processo di corretta gestione dei dati personali.

La privacy è una leva di business?

Sì. Lo spunto per adeguare una azienda al GDPR, considerando l'impatto che potrebbe avere sull'organizzazione, richiede un investimento. E si sa che per un imprenditore questo significa aver un ritorno economico per l'investimento .

Di primo impatto rimane difficile vedere come gli adempimenti previsti dalla privacy possano generare valore economico. Però sappiamo che sempre più i dati stanno supportando imprenditori e manager nelle loro decisioni. In questo contesto, una maggiore consapevolezza sul valore dei dati, sulla corretta gestione di quelli sottoposti a tutela, contribuisce a costruire una base per utilizzarli in modo appropriato per strategie di business aziendale.

Ad esempio: un dato corretto riguardante i propri clienti permette di a costruire una base dati affidabile ed estrarre informazioni utili a descrivere il proprio mercato. Un dato correttamente gestito permette di attuare politiche di marketing con la consapevolezza necessaria ad ottenere risultati migliori.

Il GDPR è una tecnologia?

No. Il regolamento sul trattamento dei dati personali che entrerà in vigore il prossimo 25 maggio non fa alcun riferimento ad alcuno tipo di tecnologie (come ad esempio i famosi cookie). Di certo l’ambito di competenza porta con sé un rilevante impatto nella gestione dei dati attraverso tecnologie informatiche, ma questo è una conseguenza degli adempimenti necessari per la sua adozione all'interno di una azienda.

infografica gdpr pmi

Ma il punto di partenza per una attività di adeguamento alla normativa non può che partire da una valutazione a 360 gradi su come vengono trattati i dati - personali e non - in azienda.

Questo rende opportuno un lavoro di squadra che vada a mettere insieme figure professionali esterne, se non disponibili al proprio interno,  a supporto dei ruoli chiavi  dell'organigramma aziendale.

Si è pronti?

No. Anche se il regolamento è stato emanato nel 2016, ad un mese dalla sua entrata in vigore risulta essere evidente il ritardo con cui si sono avviate le attività per il suo recepimento.

Se da un lato le ultime statistiche di inizio anno indicavano che piccole e medie imprese erano ancora in ritardo nell'attività di adeguamento, dall'altro lo stesso Garante per la Privacy è ancora impegnato nel definire le linee guide per la corretta adozione degli adempimenti normativi.

Ci sarà una proroga? Improbabile. Si tratta pur sempre di un regolamento europeo già emanato cui termini sono stati definiti due anni fa  e la cui adozione è in corso non solo in Italia ma in  tutti i 28 stati membri dell’Unione Europea.

Per concludere

Se non si è ancora valutata la conformità della propria attività economica alle nuove disposizioni sulla protezione dei dati è opportuno NON perdere altro tempo.

Prima di partire ad approfondire i dettagli del GDPR  è raccomandabile avviare una riflessione di carattere generale sulla realtà aziendale in cui si sta operando. Che valore hanno i dati per il business? Dove si trovano? Chi sono le figure e quali procedure sono coinvolte nella loro gestione? Ci sono sistemi di controllo sul loro utilizzo? Ci sono sistemi che tutelano l’azienda da perdite accidentali?

La risposta a queste domande sono il punto di partenza per avviare una attività di adeguamento, semmai con il supporto di un consulente legale ed un consulente informatico al proprio fianco.